Vulnerabilidades Críticas en vCenter Server

Parches y soluciones alternativas para mitigar amenazas

Lucas Gagliardo

        Hoy compartimos un comunicado emitido por el fabricante VMware el 2021-09-21, donde advierten sobre múltiples vulnerabilidades.

        CVE-2021-21991, CVE-2021-21992, CVE-2021-21993, CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008, CVE-2021-22009, CVE-2021-22010, CVE-2021-22011, CVE-2021-22012, CVE-2021-22013, CVE-2021-22014, CVE-2021-22015, CVE-2021-22016, CVE-2021-22017, CVE-2021-22018, CVE-2021-22019, CVE-2021-22020


        Estas vulnerabilidades fueron informadas de forma privada a VMware y existen parches para remediar estos problemas en los servicios afectados.
        El objetivo de este documento es informar al lector sobre la amenaza encontrada y como aplicar las contramedidas para mitigarla. 

        vSphere 7.0

        Vulnerabilidad

        CVSSv3 Range   

        Severidad

        CVE-2021-22005

        9.8

        Critical

        CVE-2021-21991 CVE-2021-21992 CVE-2021-21993 CVE-2021-22006 CVE-2021-22007 CVE-2021-22008 CVE-2021-22009 CVE-2021-22010 CVE-2021-22014 CVE-2021-22015 CVE-2021-22019 CVE-2021-22020

        4.3-8.8

        Important

        CVE-2021-22011 CVE-2021-22018

        6.5, 8.1

        Important

        CVE-2021-22005

        9.8

        Critical

        CVE-2021-21991 CVE-2021-21992 CVE-2021-21993 CVE-2021-22006 CVE-2021-22007 CVE-2021-22008 CVE-2021-22009 CVE-2021-22010 CVE-2021-22014 CVE-2021-22015 CVE-2021-22019 CVE-2021-22020

        4.3-8.8

        Important

        CVE-2021-22011 CVE-2021-22018

        6.5, 8.1

        Important




        vSphere 6.7

        Vulnerabilidad

        CVSSv3 Range   

        Severidad

        CVE-2021-22005

        9.8

        Critical

        CVE-2021-21991 CVE-2021-21992 CVE-2021-21993 CVE-2021-22006 CVE-2021-22008 CVE-2021-22009 CVE-2021-22010 CVE-2021-22011 CVE-2021-22016 CVE-2021-22017

        4.3-8.8

        Important

        CVE-2021-22007 CVE-2021-22015 CVE-2021-22014 CVE-2021-22019 CVE-2021-22020

        5.0-7.8

        Important

        CVE-2021-22005

        9.8

        Critical

        CVE-2021-21991 CVE-2021-21992 CVE-2021-21993 CVE-2021-22006 CVE-2021-22007 CVE-2021-22008 CVE-2021-22009 CVE-2021-22010 CVE-2021-22011 CVE-2021-22014 CVE-2021-22015 CVE-2021-22016 CVE-2021-22017 CVE-2021-22019 CVE-2021-22020

        4.3-8.8

        Important


        vSphere 6.5


        Vulnerabilidad

        CVSSv3 Range   

        Severidad

        CVE-2021-21991 CVE-2021-21992 CVE-2021-21993 CVE-2021-22008 CVE-2021-22009 CVE-2021-22011 CVE-2021-22012 CVE-2021-22013 CVE-2021-22014 CVE-2021-22017

        4.3-8.8

        Important

        CVE-2021-22014 CVE-2021-22015 CVE-2021-22019

        5.3-7.8

        Important



        ¿Qué implican estas vulnerabilidades?


        CVE-2021-22005: El vCenter posee una vulnerabilidad de carga de archivos en su servicio de análisis.

        CVE-2021-21991: vCenter Server contiene una vulnerabilidad de escalamiento de privilegios local debido a la forma en que maneja los tokens de sesión.

        CVE-2021-22006: vCenter Server contiene una vulnerabilidad de omisión de reverse proxy debido a la forma en que los endpoints manejan el URI.

        CVE-2021-22011: vCenter Server contiene una vulnerabilidad de endpoint de API no autenticado en la biblioteca de contenido de vCenter Server.

        CVE-2021-22015: El servidor vCenter contiene múltiples vulnerabilidades de escalada de privilegios locales debido a permisos inadecuados de archivos y directorios. 

        CVE-2021-22012: El servidor vCenter contiene una vulnerabilidad de divulgación de información debido a una API de gestión de dispositivos no autenticada.

        CVE-2021-22013: El servidor vCenter contiene una vulnerabilidad de cruce de rutas de archivos que conduce a la divulgación de información en la API de gestión de dispositivos. 

        CVE-2021-22016: El servidor vCenter contiene una vulnerabilidad reflejada de secuencias de comandos en sitios cruzados debido a una falta de sanitización de entradas. 

        CVE-2021-22017: Rhttproxy, tal como se utiliza en vCenter Server, contiene una vulnerabilidad debida a la implementación incorrecta de la normalización de URI. 

        CVE-2021-22014: El servidor vCenter contiene una vulnerabilidad de ejecución de código autenticado en VAMI (Virtual Appliance Management Infrastructure). 

        CVE-2021-22018: El servidor vCenter contiene una vulnerabilidad de eliminación arbitraria de archivos en un complemento de VMware vSphere Life-cycle Manager. 

        CVE-2021-21992: vCenter Server contiene una vulnerabilidad de denegación de servicio debido al análisis incorrecto de entidades XML. 

        CVE-2021-22007: El servidor vCenter contiene una vulnerabilidad de divulgación de información local en el servicio Analytics. 

        CVE-2021-22019 - CVE-2021-22009: El servidor vCenter contiene una vulnerabilidad de denegación de servicio en el servicio VAPI (vCenter API). 

        CVE-2021-22010: El servidor vCenter contiene una vulnerabilidad de denegación de servicio en el servicio VPXD (Virtual Provisioning X Daemon). 

        CVE-2021-22008: El servidor vCenter contiene una vulnerabilidad de divulgación de información en el servicio VAPI (vCenter API). 

        CVE-2021-22020: El servidor vCenter contiene una vulnerabilidad de denegación de servicio en el servicio Analytics. 

        CVE-2021-21993: vCenter Server contiene una vulnerabilidad SSRF (Server Side Request Forgery) debido a la validación incorrecta de las URL en vCenter Server Content Library. 


        ¿Qué productos son afectados por estas vulnerabilidades?

        VMware vCenter Server (vCenter Server) Versiones: 7.0 6.7 6.5
        VMware Cloud Foundation (Cloud Foundation) Versiones: 4.x 3.x


        En la siguiente tabla se indica la versión de vCenter que corrige las vulnerabilidades en su totalidad mencionadas anteriormente. En el caso de VCF, se menciona la kb correspondiente con el paso a paso para solventar este inconveniente.

        Producto

        Versión

        Fixed Version

        vCenter Server

        7.0

        7.0 U2d

        Cloud Foundation (vCenter Server)

        4.x

         

        KB85718 (4.3)

        vCenter Server

        6.7

        6.5 U3q

        Cloud Foundation (vCenter Server)

        3.x

         

        KB85719 (3.10.2.2)

        vCenter Server

        6.5

         

        6.5 U3q

         

        Procedimiento para aplicar el hotfix

        1. Tomar una snapshot sin memoria de la VM de vCenter 2. Conectarse a la consola VAMI (https://FQDN_o_IP_VCSA:5480) 3. Chequear la versión actual

        1. Ir a la pestaña de Updates 5. Click en Check Updates. Aparecerán las actualizaciones disponibles, seleccionaremos la indicada en la tabla. 6. Hacer click en Stage and Install

        1. El proceso nos pedirá aceptar la EULA

        1. Luego, debemos seleccionar el checkbox para confirmar que hemos realizado un backup.

         

         

        9. El proceso de actualización comenzará.

        10. Una vez finalizado, chequear la versión para confirmar que el proceso se completó correctamente.

         

        Links de referencia

        https://www.vmware.com/security/advisories/VMSA-2021-0020.html

        Clasificación de vulnerabilidad según VMware

        Glosario

        ¿Qué es VMSA? La sigla VMSA representa VMware Security Advisory y forma parte de VMWare Security Solutions. Su misión es documentar remediaciones para las vulnerabilidades de seguridad reportadas en los productos de VMware. Una vez recibido los reportes o detectadas por el fabricante, se notifican, se asigna un identificador CVE y se asigna un puntaje CVSS.



        ¿Qué es CVE? Common Vulnerabilities and Exposures es una base de datos de vulnerabilidades que son públicamente conocidas. Su supervisión corre por cuenta de MITRE Corporation, con asistencia financiera de la Agencia de Seguridad de Ciberseguridad e Infraestructura del Departamento de Seguridad Nacional de Estados Unidos. En este caso, a las vulnerabilidades que se registran en en esta base, a su vez, se les asigna un score conforme a CVSS para poder identificar la complejidad de la vulnerabilidad y poder gozar de un criterio más exacto a la hora de la toma de decisiones.



        ¿Qué es CVSS? Es un estándar abierto bajo dominio de FIRST. CVSS representa “Common Vulnerability Score System” que, como su nombre indica, es un sistema de puntaje para estimar el impacto que pueden llegar a implicar las vulnerabilidades. A la hora de determinar qué nivel de riesgo puede determinar una amenaza se emplea una escala que se establece entre el 0 y 10.


        En base a esto se establece tres niveles de riesgo:



        Severidad baja: 0.0 - 3.9


        Severidad media: 4.0 - 6.9


        Severidad alta: 7.0 - 10.0



        ¿Necesitás ayuda para resolver el problema?

        Dejanos tus datos para que nuestro equipo se ponga inmediatamente en contacto con vos.